中国、データ域外移転のセキュリティ評価に関するガイダンス案を発表
2021年10月29日、中国のサイバースペース管理局(以下「CAC」といいます。)はデータ域外移転のセキュリティ評価に関する規則案を発表しました(以下「本規則案」といいます。)。中国のサイバーセキュリティとプライバシーに関する3つの法律(サイバーセキュリティ法、データセキュリティ法、個人情報保護法)により、あるデータが中国から国外に移転される前に政府のセキュリティ評価が必要になります。
本規則案は、以下の場合にデータ取扱者(GDPRの「データコントローラー」と同様です。)が政府のセキュリティ評価を申請しなければならないとしています。
- データ移転が重要情報インフラ運営者が収集若しくは生成する個人情報若しくは重要データ、又はその他重要データであると判断されるデータ(一般的には、国家安全保障、経済開発又は公共の利益に関連するデータと定義されます。)を含んでいる場合
- 移転される個人情報のデータ主体の数にかかわらず、100万以上のデータ主体の個人情報をデータ取扱者が処理している場合
- 10万以上のデータ主体の個人情報又は1万以上のデータ主体のセンシティブな個人情報を移転させる場合
- その他CACによって定められた場合
数値基準は個人情報保護法の関連規定の実施を意図しており、受領したコメント次第で本規則案が最終化される前に変わるかもしれません。
政府のセキュリティ評価が必要かどうかを判断するために、データ取扱者はまず、GDPRのデータ保護影響評価の項目と類似の項目をカバーした自己評価を行う必要があります。政府のセキュリティ評価が必要であれば、データ取扱者はCACに申請し、自己評価報告を含む所定の書類を提出しなければなりません。CACは、申請受領後45日以内又は複雑な案件であれば最大60日以内に他の専門的な政府部門と協力してセキュリティ評価を行わなければなりません。結果は書面でデータ取扱者に提供されます。
本規則案が採用されることを見据えて、企業は域外移転するデータの種類、量、並びに多様な中国サイバーセキュリティ―及びプライバシーに関する法律に基づく特別な義務の有無について注意する必要があります。
本規則案は、2021年11月21日までパブリックコメントを受け付けていました。
本アラートは、中国で事業を行う日本企業にとって重要なトピックと考えられることから紹介する次第です。詳細は、Jones Day Alerts “China Issues Draft Guidance on Security Assessments for Cross-Border Data Transfers”(オリジナル英語版)をご参照ください。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。